FutureNet

NXR,WXRシリーズ

NAT・フィルタ編

3. NAT/フィルタ応用設定

3-7. DMZ構築(PPPoE)設定

NXR-230/Cのように3ポート(3セグメント)以上を有する製品では、インターネットに公開するサーバ群(DMZ)と社内LANを物理的に分けて構築することが可能です。

 

【 構成図 】

  • ethernet0をLAN側、ppp0(ethernet1)をWAN側、ethernet2をDMZ側とします。
  • ethernet0インタフェースが属するネットワーク192.168.10.0/24からのパケットで、かつppp0インタフェースから出力されるパケットは送信元IPアドレスを10.10.10.1に変換します。
  • ppp0インタフェースでステートフルパケットインスペクションを設定し、インターネット側からのアクセスに対しては原則破棄しますが、以下のアクセスのみ許可します。
    – 宛先IPアドレス10.10.10.0/29宛のICMPパケット(ただし宛先IPアドレス10.10.10.1のICMP Echo Requestは破棄)
    – 宛先IPアドレス10.10.10.2および10.10.10.3,宛先TCPポート番号80(WWWサーバ)
    – 宛先IPアドレス10.10.10.4,宛先TCP,UDPポート番号53(DNSサーバ)
    ※DNSサーバの名前解決およびゾーン転送用に送信元10.10.10.4,宛先TCP,UDPポート番号53を許可
  • ethernet2インタフェースでもステートフルパケットインスペクションを有効にし、DMZからLANへのアクセスおよびインターネットへの不要なアクセスを破棄します。
  • DNS機能を有効にし、LAN内の端末からの名前解決要求(クエリ要求)をDMZ内のDNSサーバに転送します。

 

【 設定データ 】

設定項目 設定内容
LAN側インタフェース ethernet0のIPアドレス 192.168.10.1/24
DMZ側インタフェース ethernet2のIPアドレス 10.10.10.1/29
SPIフィルタ 有効
WAN側インタフェース PPPoEクライアント(ethernet1) ppp0
ppp0のIPアドレス 10.10.10.1/32
SNATグループ ppp0_snat
IPアクセスグループ in ppp0_in
forward-in ppp0_forward-in
forward-out ppp0_forward-out
SPIフィルタ 有効
MSS自動調整 オート
ISP接続用ユーザID test1@example.jp
ISP接続用パスワード test1pass
スタティックルート 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(インタフェース) ppp0
SNAT ルール名 ppp0_snat
ppp0_snat プロトコル IP
送信元IPアドレス 192.168.10.0/24
宛先IPアドレス any
変換後送信元IPアドレス 10.10.10.1
IPフィルタ ルール名 ppp0_in
ppp0_in 動作 破棄
送信元IPアドレス any
宛先IPアドレス 10.10.10.1
プロトコル ICMP
タイプ 8
コード 0
ルール名 ppp0_forward-in
ppp0_forward-in No.1 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.10.2
プロトコル TCP
送信元ポート any
宛先ポート 80
No.2 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.10.3
プロトコル TCP
送信元ポート any
宛先ポート 80
No.3 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.10.4
プロトコル TCP
送信元ポート any
宛先ポート 53
No.4 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.10.4
プロトコル UDP
送信元ポート any
宛先ポート 53
No.5 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.10.0/29
プロトコル ICMP
ppp0_forward-out No.1 動作 許可
送信元IPアドレス 10.10.10.4
宛先IPアドレス any
プロトコル TCP
送信元ポート any
宛先ポート 53
No.2 動作 許可
送信元IPアドレス 10.10.10.4
宛先IPアドレス any
プロトコル UDP
送信元ポート any
宛先ポート 53
DNS サービス 有効
DNSサーバ プライマリ 10.10.10.4
FastFowarding 有効

【 設定例 】

nxr230#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxr230(config)#interface ethernet 0
nxr230(config-if)#ip address 192.168.10.1/24
nxr230(config-if)#exit
nxr230(config)#ip route 0.0.0.0/0 ppp 0
nxr230(config)#ip snat ppp0_snat ip 192.168.10.0/24 any 10.10.10.1
nxr230(config)#ip access-list ppp0_in deny any 10.10.10.1 icmp 8 0
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.2 tcp any 80
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.3 tcp any 80
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 tcp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 udp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.0/29 icmp
nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any tcp any 53
nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any udp any 53
nxr230(config)#ppp account username test1@example.jp password test1pass
nxr230(config)#interface ppp 0
nxr230(config-ppp)#ip address 10.10.10.1/32
nxr230(config-ppp)#ip snat-group ppp0_snat
nxr230(config-ppp)#ip access-group in ppp0_in
nxr230(config-ppp)#ip access-group forward-in ppp0_forward-in
nxr230(config-ppp)#ip access-group forward-out ppp0_forward-out
nxr230(config-ppp)#ip spi-filter
nxr230(config-ppp)#ip tcp adjust-mss auto
nxr230(config-ppp)#ppp username test1@example.jp
nxr230(config-ppp)#exit
nxr230(config)#interface ethernet 1
nxr230(config-if)#no ip address
nxr230(config-if)#pppoe-client ppp 0
nxr230(config-if)#exit
nxr230(config)#interface ethernet 2
nxr230(config-if)#ip address 10.10.10.1/29
nxr230(config-if)#ip spi-filter
nxr230(config-if)#exit
nxr230(config)#dns
nxr230(config-dns)#service enable
nxr230(config-dns)#address 10.10.10.4
nxr230(config-dns)#exit
nxr230(config)#fast-forwarding enable
nxr230(config)#exit
nxr230#save config

【 設定例解説 】

1. <LAN側(ethernet0)インタフェース設定>
nxr230(config)#interface ethernet 0
nxr230(config-if)#ip address 192.168.10.1/24

ethernet0インタフェースのIPアドレスを設定します。

 

2. <スタティックルート設定>
nxr230(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

3. <SNAT設定>
nxr230(config)#ip snat ppp0_snat ip 192.168.10.0/24 any 10.10.10.1

SNAT名をppp0_snatとし、送信元IPアドレス192.168.10.0/24のパケットの送信元IPアドレスを10.10.10.1に変換します。

なお、このSNAT設定はppp0インタフェース設定で登録します。

(☞) SNATを設定しただけでは送信元IPアドレスの変換機能は動作しません。送信元IPアドレスの変換を行うインタフェースでの登録が必要になります。

 

4. < IPアクセスリスト設定>
nxr230(config)#ip access-list ppp0_in deny any 10.10.10.1 icmp 8 0

IPアクセスリスト名をppp0_ inとし、宛先IPアドレス10.10.10.1,ICMPタイプ8コード0(ICMP EchoRequest)のパケットを許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。

nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.2 tcp any 80
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.3 tcp any 80
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 tcp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 udp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.0/29 icmp

IPアクセスリスト名をppp0_forward-inとし、宛先IPアドレス10.10.10.2~10.10.10.3,宛先TCPポート番号80のパケットを許可します。また、宛先IPアドレス10.10.10.4,宛先TCPポート番号53およびUDPポート番号53のパケットを許可します。また、宛先IPアドレス10.10.10.0/29のICMPパケットを許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。

nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any tcp any 53
nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any udp any 53

IPアクセスリスト名をppp0_forward-outとし、送信元IPアドレス10.10.10.4,宛先TCPポート番号53およびUDPポート番号53のパケットを許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。

(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。

 

5. <PPPアカウント設定>
nxr230(config)#ppp account username test1@example.jp password test1pass

ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。

 

6. <WAN側(ppp0)インタフェース設定>
nxr230(config)#interface ppp 0
nxr230(config-ppp)#ip address 10.10.10.1/32

ppp0インタフェースのIPアドレスを設定します。

nxr230(config-ppp)#ip snat-group ppp0_snat
nxr230(config-ppp)#ip access-group in ppp0_in
nxr230(config-ppp)#ip access-group forward-in ppp0_forward-in
nxr230(config-ppp)#ip access-group forward-out ppp0_forward-out
nxr230(config-ppp)#ip spi-filter
nxr230(config-ppp)#ip tcp adjust-mss auto

ステートフルパケットインスペクションを有効に設定します。また、ppp0_snatをSNATグループに、IPアクセスリストppp0_inをinフィルタ、ppp0_forward-inをforward-inフィルタ、ppp0_forward-outをforward-outフィルタにそれぞれ適用します。そして、TCP MSSの調整機能をオートに設定します。

nxr230(config-ppp)#ppp username test1@example.jp

ISP接続用ユーザIDを設定します。

 

7. <ethernet1インタフェース設定>
nxr230(config)#interface ethernet 1
nxr230(config-if)#no ip address
nxr230(config-if)#pppoe-client ppp 0

PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。

 

8. <DMZ側(ethernet2)インタフェース設定>
nxr230(config)#interface ethernet 2
nxr230(config-if)#ip address 10.10.10.1/29
nxr230(config-if)#ip spi-filter

ethernet2インタフェースのIPアドレスを設定します。また、ステートフルパケットインスペクションを有効に設定します。

 

9. <DNS設定>
nxr230(config)#dns
nxr230(config-dns)#service enable
nxr230(config-dns)#address 10.10.10.4

DNSサービスを有効にします。また、DNS サーバアドレスとしてDMZのDNSサーバを設定します。

 

10. <ファストフォワーディングの有効化>
nxr230(config)#fast-forwarding enable

ファストフォワーディングを有効にします。ファストフォワーディングを設定することによりパケット転送の高速化を行うことができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR ,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。

 

【 端末の設定例 】

端末 WWWサーバ1 WWWサーバ2 DNSサーバ
IP アドレス 192.168.10.100 10.10.10.2 10.10.10.3 10.10.10.4
サブネットマスク 255.255.255.0 255.255.255.248
デフォルトゲートウェイ 192.168.10.1 10.10.10.1
DNS サーバ 192.168.10.1